• Perspective
Publié le 4 avril 2018

BSSI présent au Forum Sécurité Cloud et RGPD 2018 - Jour 1

Introduction

Le 1er Forum Sécurité Cloud organisé à Paris les 21 et 22 mars dernier a été l’occasion de rencontrer et d’obtenir des retours d’expérience auprès de responsables sécurité, avocats et experts en matière de Sécurité Cloud.

En 2018, la sécurité dans le Cloud est devenu un enjeu stratégique pour les entreprises européennes qui souhaitent y migrer leurs données et applications, tout en se conformant au Règlement Général relatif à la Protection des Données (RGPD).

BSSI_Forum_securite_Cloud2

Les enjeux pour les entreprises d’un Cloud de confiance

  • Jean-Noël DE GALZAIN - président d'HEXATRUST et de la société WALLIX

En introduction, Jean-Noël nous a présenté l’association Hexatrust, née de la volonté commune de PME et d’ETI françaises, d’acteurs complémentaires experts de la sécurité des systèmes d’information, de la cybersécurité et de la confiance numérique.

Aujourd’hui, cette association regroupe 47 entreprises françaises à la suite de la fusion avec l’association « Cloud Confidence » et continue à croître vers des acteurs industriels européens.

Selon le Président d'Hexatrust, les sociétés européennes sont en retard dans le numérique et notamment dans les investissements en cybersécurité. L’investissement moyen en France est inférieur à 10% alors que certaines entreprises américaines allouent jusqu’à 17% de leur investissement global.

Jean-Noël invite donc « à ce que le surcroît d’investissement à venir en sécurité numérique se dirige vers les solutions souveraines ». Il est, selon lui, primordial de « changer les comportements d’achats et consommer français quand les solutions françaises sont d’excellent niveau, de confiance et certifiées par l’ANSSI ».  « Le RGPD est une révolution et une opportunité historique de bâtir une Industrie souveraine respectueuse de nos valeurs et une opportunité de reprendre la main sur nos données et sur l’innovation ».

Il appelle également à promouvoir l’utilisation des prestataires Cloud (SECNUM) en cours de qualification par l’ANSSI :

BSSI_Prestataires_Cloud

Comment acheter des prestations de services dans le Cloud en toute sécurité ?

  • Florent GASTAUD - Data Protection Officer, OVH
  • Nicolas HANTEVILLE - RSSI adjoint, vente-privee.com
  • SAAX - pentester et bug bounty hunter

Florent, le Data Protection Officer (DPO) d’OVH fait partie d’un regroupement de Clouds européens (https://cispe.cloud) partageant un code de conduite permettant d'être conforme au RGPD.

Ce regroupement inclut 16 sociétés, dont AWS Europe, OVH et Ikoula. Ces sociétés s’engagent dans une démarche de certification aux normes ISO27K applicables pour les services Cloud (27001/27017/27018). Comme l’indique Florent, « il n’est pas possible de garantir une certification RGPD générique. En effet, il faut tenir compte du métier et du niveau de sécurité de l’environnement client ».

Il recommande de bien étudier les offres des prestations de services et se référer aux contrats ou conditions générales de services (CGU). Il est également important de bien vérifier le niveau de conformité des prestataires au regard des exigences du RGPD, notamment si des traitements sont réalisés dans des pays non adéquats.

Florent alerte sur le fait que le RGPD « différencie stockage et traitement ». Ainsi « avoir un Datacenter en France n’est pas suffisant. Si la donnée est, ne serait-ce que visualisée et/ou traitée ailleurs, ce n’est pas RGPD ! »

À son tour, Nicolas souligne le fait que, dans les applications ERP, aucune des solutions SaaS du marché n’est conforme au RGPD. Ainsi, « En cas de fuite de données, on s’engage à vous fournir un rapport en 30 jours ». Or le RGPD exige de « prévenir ses clients en 72h ».

Enfin, SAAX, précise que pour une part, il travaille pour un grand industriel, et audite les failles de l’infrastructure en se basant notamment sur le référentiel OWASP et de l’autre, participe à des bugbounty sur bountyfatory.com.

Selon Florent, le « bugbounty est un bon moyen de tester ses systèmes sur Internet ».

Comment réduire les risques avant de migrer en toute sécurité vers le Cloud ?

  • François BARANGER - CTO, T-Systems
  • Marc LEYMONERIE - Directeur de la cybersécurité, AIR FRANCE-KLM
  • Philippe RONDEL - Directeur Technique, Check Point Software
  • Sana BAKFALOUNI - RSSI, en mission
  • Hervé SCHAUER - Expert sécurité

Selon Marc, la migration dans le Cloud nécessite une analyse préalable des risques avec l’audit interne, une étude de faisabilité regroupant les acteurs suivants : RSSI, DPO, architectes Cloud, les achats pour la partie contractuelle, une prise en compte des besoins métiers, et des tests préalables avec un panel d’utilisateurs représentants les différents métiers.

D’après lui, une migration dans le Cloud nécessite de faire une vraie conduite du changement. Cette conduite doit également s'appliquer aux sous-traitants.

D’après Hervé, « le Cloud ne doit pas être subi. Il doit impliquer tous les métiers, permettre une conduite du changement. De plus, l’expérience utilisateur doit être au cœur de la réussite d’une migration dans le Cloud ».

Toutefois, Il est recommandé de combattre le « shadow IT » (Cloud privé non géré par l’entreprise). Il faut également revoir les contrats et souscrire aux options de sécurité. En effet, ces dernières apportent une valeur ajoutée (authentification multifacteur, renforcement de la protection des données et de la traçabilité).

L’externalisation du contrôle d’accès est à éviter au profit d’une centralisation des accès avec des fédérations. Ceci permettant de conserver en interne l’information cruciale : « qui accède à quoi ? ».

Certains Clouds en Europe comme T-systems propose déjà un droit d’audit à ces clients européens pour être conforme au RGPD.

Il est recommandé de vérifier le niveau de certification des Clouds (notamment le périmètre de couverture de l’audit de certification : domaine d’applicabilité dans la norme ISO27001), et de comparer les offres avant de s’engager.

Article rédigé par
Grégoire VIALARET